TECHTARGET

Autenticazione utente e sicurezza reti: si può scegliere “come”, ma non “se”

In ambito network security è sempre necessario provvedere all’autenticazione, in qualsiasi contesto e con qualsiasi applicazione si abbia a che fare. Esistono però almeno sei opzioni tra cui scegliere a seconda delle proprie necessità e delle modalità più convenienti e fruibili: si può passare dalla 2FA alla biometria, fino ai certificati

Pubblicato il 19 Dic 2023

Marta Abbà - Fonte TechTarget

Immagine di TierneyMJ su Shutterstock

Occuparsi della gestione delle identità e degli accessi significa garantire che le persone giuste abbiano l’accesso alle risorse per loro necessarie e, allo stesso tempo, che gli utenti non autorizzati non abbiano la possibilità di entrare. L’autenticazione, il processo che consente di determinare se gli utenti sono quelli che dichiarano di essere, è uno dei primi passi fondamentali da compiere per proteggere dati, reti e applicazioni.

Esistono almeno sei tipi di autenticazione e una serie di protocolli disponibili, tra cui ogni esperto di security può scegliere in base alle esigenze della sua organizzazione.

Perché è importante l’autenticazione degli utenti

Per aumentare il livello di sicurezza e tenere i criminali lontani dai dati sensibili si deve richiedere agli utenti di fornire e dimostrare la propria identità. Attraverso il processo di autenticazione, i team IT possono applicare il principio del minimo privilegio, per limitare ciò che i dipendenti possono vedere. Non tutti i dipendenti, per esempio, hanno bisogno di accedere ai dati finanziari dell’azienda e chi si occupa di contabilità, a sua volta, non deve poter toccare i progetti degli sviluppatori.

Per scegliere il tipo di autenticazione, va considerata anche la user experience, oltre alla sicurezza. Da un lato alcuni tipi di autenticazione utenti sono meno sicuri di altri, ma dall’altro quando l’autenticazione implica un attrito eccessivo, può perdere efficacia perché incoraggia pratiche scorrette.

I sei tipi di autenticazione utente

In tutti i metodi di autenticazione si tiene conto di qualcosa che gli utenti conoscono, qualcosa che gli utenti hanno e qualcosa che gli utenti sono, ma non tutte le tipologie prese in considerazione offrono lo stesso livello di protezione per la rete. Alcuni offrono un livello di sicurezza minimo, altri un livello molto elevato, quindi si consiglia di utilizzare più di un metodo, l’autenticazione a più fattori (MFA).

Autenticazione password-based

Conosciuta anche come autenticazione knowledge-based, l’autenticazione password-based si fonda su un nome utente e una password o un PIN. È il metodo di autenticazione più comune e anche il più facile da violare per i criminali. Molti spesso riutilizzano le password e ne creano di facili da indovinare, con parole vulnerabili ad attacchi basati su dizionario e informazioni personali disponibili al pubblico. I dipendenti dovrebbero creare e gestire una password per ogni applicazione e dispositivo che utilizzano. Questo potrebbe rendere loro la vita difficile, li spinge a semplificare le password appena possibile, rende gli account vulnerabili al phishing e agli attacchi brute-force.

Servirebbero policy specifiche sulle password che ne limitino il riutilizzo e ne richiedano il cambio regolarmente. Sarebbe da vincolare anche il livello di complessità, imponendo una certa lunghezza e e l’utilizzo di caratteri speciali.

Autenticazione a due fattori o a più fattori

L’autenticazione a due fattori (2FA) richiede che di fornire almeno un fattore di autenticazione aggiuntivo, oltre alla password. L’MFA ne richiede due o più. Si può trattare di uno qualsiasi dei tipi di autenticazione descritti in questo articolo o di una password unica inviata via SMS o e-mail. Tra i fattori aggiuntivi si può anche includere l’autenticazione fuori banda, in tal caso il “secondo fattore” è su un canale diverso dal dispositivo originale per mitigare gli attacchi man-in-the-middle.

Questa modalità rafforza la sicurezza degli account perché serve qualcosa di più delle semplici credenziali per accedere. La forza della 2FA si basa sul fattore secondario. I criminali, infatti, possono facilmente violare i testi e le e-mail e l’uso della biometria o delle notifiche push, che richiedono qualcosa che l’utente è o possiede, offre una sicurezza maggiore. Tuttavia, quando si utilizzano 2FA o MFA è necessario fare in modo che non rendano complessa la UX.

Autenticazione biometrica

La biometria utilizza qualcosa che l’utente è e non si basa su un segreto facilmente accessibile per verificare il possesso di un account. Gli identificatori biometrici sono unici, il che rende più difficile violare gli account che li utilizzano.

I tipi più comuni di biometria sono i seguenti:

  • La scansione delle impronte digitali basata sulle impronte digitali dell’utente.
  • La scansione del palmo della mano basata su modelli unici delle loro vene.
  • Il riconoscimento facciale basato sul volto della persona per la verifica.
  • Il riconoscimento dell’iride basato sulla scansione con infrarossi dell’occhio e sul confronto con un profilo salvato.
  • La biometria comportamentale basata sul modo in cui una persona cammina, digita o maneggia un dispositivo.

Gli utenti possono avere familiarità con la biometria, il che ne facilita l’implementazione in ambito aziendale. Molti dispositivi B2C dispongono infatti di funzionalità di autenticazione biometrica, tra cui Windows Hello e Face ID e Touch ID di Apple. Questa esperienza è spesso più fluida e veloce perché non richiede di ricordare un segreto o una password. Per i criminali è anche più difficile effettuare lo spoofing.

Il principale svantaggio della biometria resta rappresentato dalla tecnologia: non tutti i dispositivi gestiscono la biometria allo stesso modo. I più vecchi usano solo un’immagine statica salvata, che potrebbe essere ingannata con una foto, mentre i più recenti (come Windows Hello) richiedono che il dispositivo sia dotato di una fotocamera con imaging a infrarossi. Questa disparità potrebbe richiedere costi iniziali più elevati rispetto ad altri tipi di autenticazione, senza togliere che va appurato che gli utenti siano disposti a condividere i propri dati biometrici con le aziende.

Single sign-on

Il single sign-on (SSO) consente a un dipendente di utilizzare un unico set di credenziali per accedere a più applicazioni o siti web. L’utente dispone di un account presso un Identity Provider (IdP) che è una fonte affidabile per l’applicazione (service provider). Tale fornitore non salva la password, ma la comunica al sito o all’applicazione, tramite cookie o token che l’utente ha verificato attraverso di lui.

L’SSO riduce il numero di credenziali che l’utente deve ricordare, rafforzando la sicurezza. Anche l’UX migliora, poiché non è necessario accedere a ciascun account ogni volta se ci si è già recentemente autenticati presso l’IdP. L’SSO può anche contribuire a ridurre il tempo dedicato dall’help desk all’assistenza per i problemi con le password.

Se un IdP subisce una violazione dei dati, però, i criminali possono accedere a più account con un unico set di credenziali. Va precisato anche che l’SSO richiede all’IT un notevole investimento iniziale di tempo per la configurazione e la connessione alle varie applicazioni e siti web.

Autenticazione basata su token

L’autenticazione basata su token consente agli utenti di accedere agli account utilizzando un dispositivo fisico, come uno smartphone, una chiave di sicurezza o una smart card. Può essere utilizzata come parte dell’MFA o per fornire un’esperienza passwordless.

Con l’autenticazione basata su token, gli utenti verificano le credenziali una sola volta per un periodo di tempo predeterminato, per ridurre i continui accessi. I token rendono difficile l’accesso agli account ai malintenzionati che, per ottenerlo, dovrebbero poter mettere fisicamente le mani sul token e conoscere le credenziali dell’utente per infiltrarsi nell’account.

I dipendenti devono però assicurarsi di tenere traccia dei loro token, altrimenti potrebbero essere bloccati dagli account. Se dimenticano o perdono il token, le aziende devono pianificare un processo di reiscrizione.

Autenticazione basata su certificati

L’autenticazione basata su certificati utilizza certificati digitali emessi da un’autorità di certificazione e la crittografia a chiave pubblica per verificare l’identità dell’utente. Il certificato memorizza le informazioni di identificazione e la chiave pubblica, mentre l’utente dispone della chiave privata memorizzata virtualmente.

L’autenticazione basata su certificati utilizza l’SSO. Il reparto IT può distribuire, gestire e revocare i certificati. Questo tipo di autenticazione funziona bene per le aziende che impiegano appaltatori che hanno bisogno di accedere temporaneamente alla rete.

L’autenticazione basata su certificati può essere costosa e lunga da implementare. L’IT deve inoltre creare un processo di reiscrizione nel caso in cui gli utenti non possano accedere alle loro chiavi, in caso di furto, per esempio, o di rottura del dispositivo.

Protocolli del metodo di autenticazione

Il processo di autenticazione prevede l’invio sicuro di dati di comunicazione tra un client remoto e un server. I protocolli di autenticazione più diffusi sono i seguenti:

  • Lightweight Directory Access Protocol (LDAP), utilizzato nell’autenticazione per verificare le credenziali con un servizio di directory. Con LDAP, i client richiedono i dati dell’utente memorizzati nel database e forniscono l’accesso se le credenziali corrispondono.
  • Password Authentication Protocol (PAP), utile se i server non possono gestire protocolli più forti. Il PAP invia nomi utente e password in chiaro, rendendolo un facile bersaglio per lo snooping.
  • Challenge-Handshake Authentication Protocol (CHAP), utilizza un meccanismo di sfida/risposta per l’autenticazione invece di trasmettere un segreto, riducendo le possibilità di attacchi replay. Offre una protezione migliore del PAP.
  • Extensible Authentication Protocol (EAP), utilizzato per le connessioni wireless come parte del Point-to-Point Protocol per le reti criptate. EAP fornisce un framework che supporta ed estende diversi metodi di autenticazione.
  • Kerberos, utilizzato per l’autenticazione su reti non sicure, come Internet, in sistemi operativi come Windows, macOS e Linux. Kerberos lavora con una terza parte fidata per fornire certificati di accesso.
  • OpenID, protocollo open source per l’autenticazione e l’SSO che serve come livello di identità del framework Open Authorization 2.0. Invece di accedere direttamente ai singoli siti web, gli utenti vengono reindirizzati al sito OpenID per il login.
  • Security Assertion Markup Language (SAML), protocollo open source e uno standard SSO. SAML trasmette informazioni attraverso documenti XML firmati tra un IdP e un fornitore di servizi.
  • Fast IDentity Online 2, standard che utilizza la Web Authentication API e il Client to Authenticator Protocol per autenticare gli utenti tramite crittografia a chiave pubblica da un dispositivo locale, come un token o uno smartphone.
  • SSL/TLS, utilizza la crittografia a chiave pubblica e i certificati digitali per l’autenticazione tra utente e server.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • TECHTARGET

    Firewall cloud-native: il “next step” della sicurezza di rete

    05 Dic 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

  • TECHTARGET

    Security: perché serve puntare sulla Identity Threat Detection and Response

    12 Ott 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

  • TECHTARGET

    Dieci crypto truffe che mietono ancora vittime nel 2023

    03 Ott 2023

    di Marta Abbà - Fonte TechTarget

    Condividi

Prossimo

Firewall cloud-native: il “next step” della sicurezza di rete

Articolo 1 di 4